可擴展認證協定(EAP)
可擴展認證協定(Extensible authentication protocol,EAP)是一個第二層處理過程,允許網路對無線客戶端進行認證。有兩種EAP:一種用於無線網路,另一種用於LAN連線,通常稱為 EAP over LAN(EAPOL)。無線環境中的一個問題是要允許WLAN設備與AP 後面的設備進行通信。有3個標準定義了此過程:EAP,802.1x和遠程認證撥入用戶服務(Remote authentication dial in user service, RADIUS )。EAP定義了標準的認證信息封裝方法,如AP用於對用戶進行認證的用戶名和密碼和數字證書。EAP本質上是點對點協定(PPP)的擴展,第一種EAP是EAP-MD5,它使用挑戰握手認證協定(challenge handshake authentication protocol, CHAP)進行認證,下面是一些EAP擴展(介紹其中EAP-MD5和EAP-TLS)。
EAP-MD5:支持使用CHAP和靜態密碼進行認證;
EAP-TLS:支持使用x.509v3數字證書進行認證;
802.1x和 RADIUS 定義了如何打包EAP信息,從而在網路上傳輸這些信息。 下圖中顯示了所使用的3中標準。802.1x描述了客戶端(通常稱為請求者)如何將EAP信息傳輸到網路訪問設備(認證者)。網路訪問設備可以是AP,交換機,路由器,VPN網關等。認證者使用RADIUS 協定將這些信息傳輸到認證伺服器,改伺服器會確認此請求者是否可以訪問網路。注意,認證者處通常沒有本地定義的用戶憑據,它通常在認證伺服器上查找此內容。